CONFIDENTIAL Google Cloudへ大半を移行した SmartHRにおける活用事例紹介 2023.10.11 Wed. 藤村 宗彦 SmartHR 情報セキュリティグループ（マネージャー） 

CONFIDENTIAL 自己紹介 2018 年に SmartHR 入社後、従業員連携プロダクトを 開発する傍ら、EM 、インフラストラクチャーの管理、社 内統制といった様々な管理・統制整備対応に従事。 SmartHR の GoogleCloud 移行プロジェクトでリードを 務めた。 現在は、社内の情シスとセキュリティを統括。 藤村 宗彦 株式会社SmartHR 情報セキュリティ グループマネージャー 

CONFIDENTIAL 今日話をすることは、移行達成のその後について https://cloud.google.com/customers/smarthr https://cloudonair.withgoogle.com/events/google-cloud -day-digital-22?talk=d3-appdev-06 

CONFIDENTIAL ・弊社のサービスについて ・サービス運用上の取り組み ・データ分析基盤について ・セキュリティの取り組み ・今後の展望について アジェンダ 

CONFIDENTIAL 弊社のサービスについて 

CONFIDENTIAL SmartHRは人事・労務業務の効率化を通じて 生産性の向上・働きたい職場環境を創出を目的とした クラウド型ソフトウェアです。 人事・労務業務の業務効率化 人事データの一元化 人事データの活用 

CONFIDENTIAL 主な機能 集まる 蓄まる 活用できる 

CONFIDENTIAL SmartHR
 SmartHR基本機能
 オプション機能
 REST API
 GraphQL
 文書配付
 年末調整
 分析レポート
 従業員サーベイ
 カスタム社員名簿
 組織図
 人事評価
 届出書類
 配置シミュレーション 
 従業員情報連携
 通勤経路検索
 アプリストア
 プラットフォーム事業
 機能とチーム構成 

CONFIDENTIAL Static Content Cloud Storage Cloud Load Balancing Back End App App Engine Front End App Cloud Run Dynamic Content Cloud SQL Amazon Route53 Cache Store Memorystore Static Content Cloud Storage Cloud Load Balancing Back End App App Engine Front End App Cloud Run Dynamic Content Cloud SQL Cache Store Memorystore オプション機能/プラットフォーム事業 SmartHR基本機能 Rails React TypeScript Node.js Next.js Rails React TypeScript jQuery SmartHRのアーキテクチャ構成 

CONFIDENTIAL サービス運用上の取り組み 

CONFIDENTIAL Projectの管理構成 Company Product development staging production SmartHR 基本機能 オプション機 能 オプション機 能 プラットフォーム事業 最小限の原則を実現するため機能ごとに分離 プラットフォーム事業 Organization Folders Projects 

CONFIDENTIAL ・ログが集約されず、別システムの関連したログが追えない ・システム間連携による高負荷状態が視認しづらい ・内部統制もあり最小限の原則に則った結果、直接本番見る必要 は無いがサービス運用上必要な方々が確認できない Projectが分離していることの課題 

CONFIDENTIAL システム全体の状況を 本番データが存在しないProject で横断して見れるようにすればよ い 

CONFIDENTIAL Static Content Cloud Storage Cloud Load Balancing Back End App App Engine Front End App Cloud Run Dynamic Content Cloud SQL Cache Store Memorystore オプション機能/プラットフォーム事業 SmartHR基本機能 共通集約Projectを含めた構成 Logging Monitoring Static Content Cloud Storage Cloud Load Balancing Back End App App Engine Front End App Cloud Run Dynamic Content Cloud SQL Cache Store Memorystore Logging Monitoring Logging Monitoring 共通集約Project 

CONFIDENTIAL ・フォルダレベルの集約ログシンク ・アーカイブと閲覧の両方を設定 ・内容を絞った上で1ヶ月保持期間 ・Cloud TraceのIDによる横断検索 ・構造化ログ出力ライブラリを用意 ・LogAnalyticsによるログ分析 Cloud Loggingで実施したこと Log Archive Cloud Storage SmartHR基本機能 Logging Logging Logging 共通集約Project オプション機能/ プラットフォーム事業 

CONFIDENTIAL Monitoringで実施したこと ・マルチプロジェクトビューの設定 ・Project横断のメトリクス ・外形監視・アラート通知 ・ダッシュボード 

CONFIDENTIAL うまく分離しつつも横断して見れる 仕組みが構築できた 

CONFIDENTIAL データ周りの取り組み 

CONFIDENTIAL Google Cloud移行前後のデータプラットフォーム SmartHR
 CloudSQL
 Zuora
 Salesforce
 Marketo
 データ格納PJ BigQuery ETLツール
 アナリスト
 

CONFIDENTIAL ・古くからあったBigQueryのため設定の不備 ・ETLツール側の問題によるデータロード不具合 ・ETLツール依存によるデータの精度と履歴問題 ・生データがドキュメント無しで設定 ・属人化したデータアクセス ・データマネジメントの不在 データプラットフォームの課題 

CONFIDENTIAL BigQueryの設定不備解消も兼ね データプラットフォームを再設計 

CONFIDENTIAL 構成要素の定義を実施 データソース
 データパイプライン
 データマネージメント
 データストレージ
 データアナリティクス
 データサイエンス
 

CONFIDENTIAL データプラットフォームの構成 SmartHR
 CloudSQL
 Zuora
 Salesforce
 Marketo
 データウェアハウスPJ BigQuery アナリスト
 データレイクPJ データマートPJ BigQuery BigQuery Cloud Composer Cloud Storage 

CONFIDENTIAL ・データレイク、データウェアハウスによるデータストレージの運用 ・Cloud Composerによるデータパイプライン・ワークフローの整備 ・Python等、構成を理解できれば誰でもデータの整備可能な運用状況 ・生データは適切にマスクした状態で扱えるようになった ・生データを直接扱わないので、データの展開が容易 ・データガバナンスを意識したデータの利活用 データプラットフォームで進んだもの 

CONFIDENTIAL データの保全やガバナンスを意識 したデータプラットフォームの構築 ができた 

CONFIDENTIAL セキュリティの取り組み 

CONFIDENTIAL 日々の運用の中で実施している ことの、一部を紹介します 

CONFIDENTIAL 「ベストプラクティス」と「コンプライアンス標準」、「内部統制」を軸に整備 セキュリティ要件の定義整備 https://cloud.google.com/security/best-practices https://www.cisecurity.org/benchmark/google_cloud_c omputing_platform 

CONFIDENTIAL 脅威検知の構成 脅威DB
 URLhaus, 
 Feodo Tracker等 
 セキュリティ
 エンジニア
 Projectのフォルダ Logging Pub/Sub 脅威検知 Cloud Functions Firestore 脅威情報収集 Cloud Functions Cloud Scheduler Logging Monitoring セキュリティPJ ・脅威DBの内容を元にログを監視 ・アクセス遮断等の処置を実施 ・同構成でAuditも監視 ・不審な挙動の調査対応を実施 ・必要に応じてインシデントの対応 ※2023年10月時点の運用 

CONFIDENTIAL 脆弱性スキャンの構成 管理ツール
 セキュリティ
 エンジニア
 Projectのフォルダ Cloud Scheduler ・Security Command Centerも一部利用 ・脆弱性の残存回避(イメージ更新されない等) ・危険度の高い脆弱性への対処 ・trivyの実行と、スキャン結果のアップロード対応 ・Artifact Analysisでは無いのは、運用と管理の為 ・検知内容はトリアージし、対応依頼やセキュリティ側で 対処 Cloud Run Artifact Registry Pub/Sub Cloud Storage Cloud Run セキュリティPJ ※2023年10月時点の運用 

CONFIDENTIAL 一部の紹介でしたが、 セキュアなサービスを保つため 日々運用してます 

CONFIDENTIAL 今後の展望について 

CONFIDENTIAL ・関連周辺ツール(Terraform等)の整備 ・セキュリティ情報とイベント管理基盤の導入 ・ジャストインタイムな権限付与の仕組みの導入 ・検証利用しやすい環境の整備 ・マルチクラウド環境への取り組み 今後の展望 

CONFIDENTIAL 少しでも興味を持っていただけた方は、 カジュアルにお話しましょう！ ・プロダクトエンジニア ・セキュリティエンジニア ・情報セキュリティマネージャー We Are Hiring!! 👇お申し込みはこちら